كارثة أمنية تضرب WordPress: الاستحواذ على 30 إضافة شهيرة لزرع أبواب خلفية خبيثة

شهد مجتمع WordPress واحدة من أكبر وأخطر هجمات سلسلة التوريد (Supply Chain Attacks) في الآونة الأخيرة، حيث كشف باحثون أمنيون عن عملية استحواذ مشبوهة استهدفت أكثر من 30 إضافة (Plugin) شهيرة، تم تحويلها لاحقاً إلى أدوات لزرع البرمجيات الخبيثة. بدأت القصة عندما لاحظ ريكي من شركة Improve & Grow تنبيهاً أمنياً في لوحة تحكم (Dashboard) أحد المواقع، يحذر من أن إضافة Countdown Timer Ultimate تحتوي على كود برمجي يسمح بوصول غير مصرح به لأطراف خارجية. هذا التنبيه كان مجرد غيض من فيض لعملية احتيال تقني واسعة النطاق شملت الاستحواذ على شركة كاملة وتغيير هويتها البرمجية سراً. وفقاً للتحقيقات التي أجراها فريق Anchor Host ، تبين أن المهاجم، الذي استخدم اسماً مستعاراً هو Kris ، قد اشترى محفظة إضافات شركة Essential Plugin (المعروفة سابقاً باسم WP Online Support) بالكامل عبر منصة Flippa في صفقة بلغت قيمتها ستة أرقام (مئات الآلاف من الدولارات). هذه الشركة، التي أسسها فريق من المطورين في الهند عام 2015، كانت تمتلك قاعدة مستخدمين ضخمة وثقة تراكمت عبر ثماني سنوات. ومع تراجع أرباح الشركة بنسبة تتراوح بين 35% إلى 45% في أواخر عام 2024، قرر المالكون الأصليون بيع العمل بالكامل، وهو ما استغله المهاجم لتنفيذ مخططه. تكمن خطورة هذا الهجوم في ذكاء التمويه التقني المستخدم. فبعد الاستحواذ مباشرة في أوائل عام 2025، قام المالك الجديد في أغسطس 2025 بإصدار التحديث رقم 2.6.7 لإضافة Countdown Timer Ultimate ، مدعياً في سجل التغييرات (Changelog) أنه مجرد تحديث للتوافق مع إصدار WordPress 6.8.2. لكن في الحقيقة، أضاف هذا التحديث 191 سطراً من الكود الخبيث، بما في ذلك باب خلفي (Backdoor) يعتمد على ثغرة (PHP Deserialization). المثير للدهشة هو أن هذا الكود ظل كامناً (Dormant) لمدة ثمانية أشهر كاملة دون أن يقوم بأي نشاط مريب، مما سمح له بالانتشار في مئات آلاف المواقع التي قامت بتحديث الإضافة بشكل روتيني. في أبريل 2026، تم تفعيل الهجوم فعلياً. بدأ موديول wpos-analytics الموجود داخل الإضافات المصابة بالاتصال بخادم تحكم (C2) تحت النطاق analytics.essentialplugin.com. قام هذا الموديول بتحميل ملف خبيث يسمى wp-comments-posts.php (اسم مشابه جداً لملف النظام الأصلي wp-comments-post.php لخداع المشرفين) وقام بحقن كود PHP ضخم داخل ملف الإعدادات الرئيسي wp-config.php. هذا الكود المحقون كان مسؤولاً عن جلب روابط سبام (Spam) وصفحات مزيفة وإعادة توجيه الزوار، ولكن بذكاء شديد؛ حيث كان يظهر هذا المحتوى فقط لزواحف البحث التابعة لشركة Google (Googlebot)، بينما يظل مخفياً تماماً عن أصحاب المواقع والزوار العاديين، وهو ما يعرف بتقنية (Cloaking) في عالم تحسين محركات البحث (SEO). الأمر الأكثر تعقيداً في هذه العملية هو كيفية تواصل البرمجية الخبيثة مع خادم التحكم. بدلاً من الاعتماد على عناوين IP ثابتة أو نطاقات يمكن إغلاقها بسهولة، استخدم المهاجم عقداً ذكياً (Smart Contract) على شبكة Ethereum. كانت البرمجية تقوم بالاستعلام عن العقد الذكي عبر نقاط اتصال (RPC) عامة لمعرفة عنوان النطاق النشط حالياً. هذا يعني أن المهاجم يمكنه تغيير عنوان خادم التحكم في أي وقت عبر تحديث العقد الذكي على (Blockchain)، مما يجعل محاولات الحظر التقليدية غير مجدية تقريباً. استخدم الباحثون في CaptainCore تقنيات التحليل الجنائي للملفات (Forensics) لتحديد وقت الاختراق بدقة. من خلال فحص النسخ الاحتياطية اليومية ومقارنة أحجام ملف wp-config.php ، تبين أن عملية الحقن تمت في نافذة زمنية ضيقة جداً لا تتجاوز 7 ساعات في يوم 6 أبريل 2026. ورغم أن فريق WordPress.org تحرك بسرعة وأغلق جميع الإضافات الـ 31 المرتبطة بالمطور وأصدر تحديثاً قسرياً (Force Update) لتعطيل الكود الخبيث، إلا أن هذا التحديث لم يقم بتنظيف ملف wp-config.php المصاب بالفعل، مما ترك آلاف المواقع مستمرة في خدمة محتوى السبام لمحركات البحث دون علم أصحابها. تلقي هذه الحادثة الضوء على أزمة ثقة كبرى في متجر إضافات WordPress. فالمشكلة ليست في ثغرة أمنية برمجية بالمعنى التقليدي، بل في "سلسلة التوريد" البشرية. لا يوجد حالياً في WordPress.org آلية لمراجعة عمليات نقل ملكية الإضافات أو إخطار المستخدمين عند تغير المالك. المهاجم Kris ، الذي يمتلك خلفية في مجالات SEO والمقامرة والعملات الرقمية، تمكن من شراء الثقة التي بناها المطورون الأصليون عبر سنوات، واستخدمها كحصان طروادة لضرب أمن الويب العالمي. ينصح الخبراء حالياً جميع مديري المواقع بفحص قائمة الإضافات لديهم، وحذف أي إضافة تابعة لشركة Essential Plugin فوراً، مع ضرورة فحص ملف wp-config.php يدوياً للتأكد من عدم وجود أي كود غريب محقون في نهاية الملف.